Zepsuty regedit i taskmgr.

**Posty:** 15 · przez **Kwasek1** 03 Sie 2012, 18:15

Siema, od pewnego czasu mam tak że gdy próbuję przywołać Taskmgr'a Alt+Ctrl+Del to nic się nie dzieje, ale gdy wpisuję do "Uruchom", nazwę menadżera lub reg edit'a to pisze coś takiego:

. Na tej opcji działają tylko "Zasady grupy"(Gpedit.msc). Proszę o sprawdzenie logów.

P.S: Myślałem że to satality ale pobrałem wszystko do jego usuwania, zrobiłem według zasad na stronie Kasperskiego i nic.

EDIT: Jest! Udało mi się jakoś wysmażyć te logi od otl.

**Posty:** 4765 · przez **ordynat** 04 Sie 2012, 09:33

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kod: Zaznacz wszystko: :OTL @Alternate Data Stream - 24 bytes -> C:\WINDOWS:67F3B08F6FAE5EAF O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\winlog\winlog.exe () O4 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003..\Run: [HKCU] C:\WINDOWS\system32\winlog\winlog.exe () O7 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\winlog\winlog.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\WINDOWS\system32\winlog\winlog.exe () O37 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003\...exe [@ = exefile] -- Reg Error: Key error. File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "11172:TCP"=- :Commands [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Scriptem.

**Posty:** 15 · przez **Kwasek1** 04 Sie 2012, 12:48

Dzięki, oto te logi.

**Posty:** 4765 · przez **ordynat** 04 Sie 2012, 12:52

W nowym logu nie ma już nic podejrzanego.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

.

Autor postu otrzymał pochwałę

**Posty:** 15 · przez **Kwasek1** 04 Sie 2012, 13:09

Yyyy, nie wiem czy to planowałeś ale te 2 programy dalej nie działają.

**Posty:** 4765 · przez **ordynat** 04 Sie 2012, 14:36

ale te 2 programy dalej nie działają.

Masz na myśli tytułowe "regedit" i "taskmgr" ?
Jeśli tak, to:
Do >SystemLook wklej:

:filefind
regedit.exe
taskmgr.exe

:regfind
regedit.exe
taskmgr.exe

Naciśnij Look i pokaż raport.

Jeśli natomiast masz na myśli jakieś inne programy, to je po prostu usuń, skoro nie pasują do Twojego komputera.

.

**Posty:** 18165 · przez **wojtas** 04 Sie 2012, 14:46

witaj powiedz które aplikacje są Ci znane ?

O4 - Startup: C:\Documents and Settings\Kwasek\Menu Start\Programy\Autostart\DesktopVideoPlayer.lnk = C:\Documents and Settings\Kwasek\Ustawienia lokalne\Dane aplikacji\vghd\bin\vghd.exe (Totem Entertainment)
O4 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003..\Run: [Windows UI] C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe (Mozilla Corporation)
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\BumpTop.lnk = C:\Program Files\BumpTop\BumpTop.exe ()
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\NETGEAR WG111v3 Smart Wizard.lnk = C:\Program Files\NETGEAR\WG111v3\WG111v3.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe) - C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe (Mozilla Corporation)

**Posty:** 15 · przez **Kwasek1** 04 Sie 2012, 15:12

Wszystkie znam ale tylko 2 mi są potrzebne czyli Bumptop i Netgear. Reszta to pewnie coś z mozillą (z chrome korzystam.) i pozostałości jakiegoś programu VGHD tylko że ja mam starwego kompa i nic w HD

Dodano Dzisiaj, 15:20:
Ordynat coś takiego dostałem:

Kod: Zaznacz wszystko: SystemLook 30.07.11 by jpshortstuff Log created at 15:15 on 04/08/2012 by Kwasek Administrator - Elevation successful ========== filefind ========== Searching for "regedit.exe" C:\WINDOWS\regedit.exe ------- 149504 bytes [20:51 14/04/2008] [20:51 14/04/2008] FD317A23C3EB2A856E74279FBE04B9C2 C:\WINDOWS\system32\dllcache\regedit.exe --a--c- 149504 bytes [20:51 14/04/2008] [20:51 14/04/2008] FD317A23C3EB2A856E74279FBE04B9C2 Searching for "taskmgr.exe " C:\WINDOWS\system32\taskmgr.exe --a---- 139776 bytes [20:51 14/04/2008] [20:51 14/04/2008] 37C4DA5CA7D84C145150D00946064850 C:\WINDOWS\system32\dllcache\taskmgr.exe --a--c- 139776 bytes [20:51 14/04/2008] [20:51 14/04/2008] 37C4DA5CA7D84C145150D00946064850 ========== regfind ========== Searching for "regedit.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\regedit.exe"="Edytor rejestru" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\regedit.exe] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command] @="regedit.exe %1" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\DefaultIcon] @="%SystemRoot%\regedit.exe,1" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command] @=""regedit.exe" "%1"" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\regedit.exe"="Edytor rejestru" [HKEY_USERS\S-1-5-21-1085031214-299502267-1644491937-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\regedit.exe"="Edytor rejestru" [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\regedit.exe"="Edytor rejestru" Searching for "taskmgr.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList] "a"="taskmgr.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\system32\taskmgr.exe"="Menedżer zadań systemu Windows" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe] [HKEY_USERS\S-1-5-21-1085031214-299502267-1644491937-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList] "a"="taskmgr.exe" [HKEY_USERS\S-1-5-21-1085031214-299502267-1644491937-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache] "C:\WINDOWS\system32\taskmgr.exe"="Menedżer zadań systemu Windows" -= EOF =-

Dodano Dzisiaj, 15:29:
Dalej to samo, nawet jak klikam na reg edit w folderze Windows: Nie można odnaleźć habba babba itp.

**Posty:** 4765 · przez **ordynat** 04 Sie 2012, 16:01

W raporcie System Look nie widzę żadnych nieprawidłowości.
Skoro jednak mimo to nie działa, to spróbuj zrobić zwykłe "Przywracanie Systemu".

.

**Posty:** 15 · przez **Kwasek1** 04 Sie 2012, 16:28

Mam za mało checkpointów:(

Dodano Dzisiaj, 16:31:
Maybe Combofix coś wskóra?

**Posty:** 18165 · przez **wojtas** 04 Sie 2012, 17:05

Mi coś nie podoba się ten program :

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-1085031214-299502267-1644491937-1003..\Run: [Windows UI] C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe (Mozilla
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe) - C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI\WinUI.exe (Mozilla Corporation)

:Files
C:\Documents and Settings\Kwasek\Dane aplikacji\WinUI
C:\WINDOWS\system32\winlog

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

**Posty:** 15 · przez **Kwasek1** 04 Sie 2012, 18:04

Może to dlatego nic nie widać bo to było dłużej nić 30 dni, załącze na 360 dni.

Dodano Dzisiaj, 19:19:
Kk, skanowałem na 360 dni. Są w ch*j dłuższe ale może coś będzie widać, przepraszam i dziękuje.

**Posty:** 18165 · przez **wojtas** 05 Sie 2012, 13:43

możesz mi pokazać zdjęcie z błędem ?

zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, gdy coś znajdzie pokaż raport, i usuń wszystko za pomocą tego programu )

**Posty:** 15 · przez **Kwasek1** 05 Sie 2012, 14:02

Zdjęcie: [code:cenzura!]http://zapodaj.net/d58b42fb2e038.jpg.html[/code:cenzura!]

**Posty:** 18165 · przez **wojtas** 05 Sie 2012, 15:30

niby pliki są poprawne ale:

Start -> Uruchom-> CMD>wklep sfc /scannow (będziesz musiał włożyć płytę z Windowsem) , to polecenie sprawdzi poprawność plików systemowych

**Posty:** 15 · przez **Kwasek1** 05 Sie 2012, 16:46

Chyba mam

Kod: Zaznacz wszystko: Wykrytych kluczy rejestru: 2 [color=#FF0000]HKCU\Software\DC3_FEXEC (Malware.Trace) -> Nie wykonano akcji. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack[/color]) -> Nie wykonano akcji. Wykrytych wartości rejestru: 1 [color=#00FFFF]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe|Debugger (Security.Hijack) -> Data: 0 -> Nie wykonano akcji. [/color] Wykryte wpisy rejestru systemowego: 2 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|StartMenuLogoff (PUM.Hijack.StartMenu) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Złe: ("regedit.exe" "%1") Dobre: (regedit.exe "%1") -> Nie wykonano akcji.

**Posty:** 18165 · przez **wojtas** 05 Sie 2012, 19:02

wykonaj usuwanie tych kluczy i powiedz ja sytuacja.

P.S nie używaj wulgaryzmów

Autor postu otrzymał pochwałę

**Posty:** 15 · przez **Kwasek1** 12 Sie 2012, 21:11

wojtas napisał(a):wykonaj usuwanie tych kluczy i powiedz ja sytuacja.

Już wszystko spoko, dzięki.

Kto jest na forum